Configurar o SSM Agent para usar um proxy para instâncias do Windows Server - AWS Systems Manager
Precedência de configuração de proxy do SSM AgentAs configurações de proxy do SSM Agent e serviços do Systems Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o SSM Agent para usar um proxy para instâncias do Windows Server

As informações neste tópico se aplicam a instâncias do Windows Server criadas a partir de novembro de 2016 que não usam a opção de instalação Nano. Se você pretende usarSession Manager, observe que os servidores proxy HTTPS não são compatíveis.

Se sua instância for uma instância Windows Server 2008-2012 R2 criada antes de novembro de 2016, o EC2Config processará solicitações do AWS Systems Manager na sua instância. Recomendamos que você atualize suas instâncias existentes para usar a versão mais recente de EC2Config. Ao usar o instalador mais recente do EC2Config, você instala o AWS Systems Manager Agent (SSM Agent) side-by-side com o EC2Config. Essa side-by-side versão do SSM Agent é compatível com suas instâncias criadas a partir do Windows Amazon Machine Images (AMIs) anterior e permite que você use os recursos do Systems Manager publicados após novembro de 2016. Para obter informações sobre como instalar a versão mais recente do serviço EC2Config, consulte Instalar a versão mais recente do EC2Config no Guia do usuário do Amazon EC2 para instâncias do Windows. Se não atualizar para a versão mais recente do EC2Config e usá-lo para processar solicitações do Systems Manager, defina as configurações de proxy para o EC2Config. Para obter informações sobre como configurar o EC2Config para usar um proxy, consulte Definir configurações de proxy para o serviço EC2Config no Guia do usuário do Amazon EC2 para instâncias do Windows.

nota

A partir de 14 de janeiro de 2020, o Windows Server 2008 não é mais compatível para obter recursos ou atualizações de segurança da Microsoft. As Amazon Machine Images (AMIs) herdadas para Windows Server 2008 e 2008 R2 ainda incluem a versão 2 do SSM Agent pré-instalada, mas o Systems Manager não é oficialmente compatível com as versões 2008 e não atualiza mais o agente para essas versões do Windows Server. Além disso, o SSM Agent versão 3 pode não ser compatível com todas as operações no Windows Server 2008 e 2008 R2. A versão final do SSM Agent oficialmente compatível com as versões 2008 do Windows Server é a 2.3.1644.0.

Para configurar o SSM Agent para usar um proxy

  1. Usando a Área de Trabalho Remota ou o Windows PowerShell, conecte-se à instância que você gostaria de configurar para usar um proxy.

  2. Execute o seguinte bloco de comando em PowerShell. Substitua o nome do host e a porta por informações sobre o seu proxy:

    $serviceKey = "HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent"
$keyInfo = (Get-Item -Path $serviceKey).GetValue("Environment")
$proxyVariables = @("http_proxy=hostname:port", "https_proxy=hostname:port", "no_proxy=169.254.169.254")

if ($keyInfo -eq $null) {
    New-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables -PropertyType MultiString -Force
} 
else {
    Set-ItemProperty -Path $serviceKey -Name Environment -Value $proxyVariables
}

Restart-Service AmazonSSMAgent

Depois que executar o comando anterior, você poderá examinar os logs do SSM Agent para confirmar se as configurações de proxy foram aplicadas. As entradas nos logs são semelhantes ao seguinte: Para obter mais informações sobre logs do SSM Agent, consulte Visualizar logs do SSM Agent.

2020-02-24 15:31:54 INFO Getting IE proxy configuration for current user: The operation completed successfully.
2020-02-24 15:31:54 INFO Getting WinHTTP proxy default configuration: The operation completed successfully.
2020-02-24 15:31:54 INFO Proxy environment variables:
2020-02-24 15:31:54 INFO http_proxy: hostname:port
2020-02-24 15:31:54 INFO https_proxy: hostname:port
2020-02-24 15:31:54 INFO no_proxy: 169.254.169.254
2020-02-24 15:31:54 INFO Starting Agent: amazon-ssm-agent - v2.3.871.0
2020-02-24 15:31:54 INFO OS: windows, Arch: amd64
Para redefinir a configuração de proxy do SSM Agent

  1. Usando a Área de Trabalho Remota ou o Windows PowerShell, conecte-se à instância para configurar.

  2. Se você se conectou usando a Área de Trabalho Remota, inicie PowerShell como administrador.

  3. Execute o seguinte bloco de comando em PowerShell.

    Remove-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent -Name Environment
Restart-Service AmazonSSMAgent

Precedência de configuração de proxy do SSM Agent

Ao definir as configurações de proxy para o SSM Agent nas instâncias do Windows Server, é importante entender que essas configurações são avaliadas e aplicadas à configuração do agente quando o SSM Agent é iniciado. A maneira como você define as configurações de proxy para uma instância do Windows Server pode determinar se outras configurações podem prevalecer sobre as configurações pretendidas.

Importante

O SSM Agent comunica-se usando o protocolo HTTPS. Por esse motivo, você deve configurar o parâmetro HTTPS proxy usando uma das opções de configurações a seguir.

As configurações de proxy do SSM Agent são avaliadas na ordem a seguir.

  1. Configurações do registro AmazonSSMAgent (HKLM:\SYSTEM\CurrentControlSet\Services\AmazonSSMAgent)

  2. Variáveis de ambiente do sistema (http_proxy, https_proxy e no_proxy)

  3. LocalSystem variáveis de ambiente da conta do usuáriohttp_proxy,https_proxy,no_proxy)

  4. Configurações do Internet Explorer (HTTP, secure e exceptions)

  5. Configurações de proxy do WinHTTP (http=, https= e bypass-list=)

As configurações de proxy do SSM Agent e serviços do Systems Manager

Se você configurou o SSM Agent para usar um proxy e está usando AWS Systems Manager recursos, como Run Command ePatch Manager, que usam PowerShell ou o cliente Windows Update durante sua execução em Windows Server instâncias, defina configurações adicionais de proxy. Caso contrário, a operação poderá falhar porque as configurações de proxy usadas pelo PowerShell cliente Windows Update não são herdadas da configuração de SSM Agent proxy.

Para o Run Command, defina as configurações de proxy do WinINet nas instâncias do Windows Server. Os comandos [System.Net.WebRequest] fornecidos são por sessão. Para aplicar essas configurações aos comandos de rede subsequentes que são executadosRun Command, esses comandos devem preceder outros PowerShell comandos na mesma entrada do aws:runPowershellScript plug-in.

Os PowerShell comandos a seguir retornam as configurações de WinINet proxy atuais e aplicam suas configurações de proxy WinINet a.

[System.Net.WebRequest]::DefaultWebProxy

$proxyServer = "http://hostname:port"
$proxyBypass = "169.254.169.254"
$WebProxy = New-Object System.Net.WebProxy($proxyServer,$true,$proxyBypass)

[System.Net.WebRequest]::DefaultWebProxy = $WebProxy

Para o Patch Manager, defina as configurações de proxy de todo o sistema para que o cliente do Windows Update possa verificar e baixar as atualizações. Recomendamos usar o Run Command para executar os seguintes comandos porque eles são executados na conta SYSTEM e as configurações se aplicam a todo o sistema. Os comandos do netsh a seguir retornam as configurações de proxy atuais e aplicam suas configurações de proxy ao sistema local.

netsh winhttp show proxy

netsh winhttp set proxy proxy-server="hostname:port" bypass-list="169.254.169.254"

Para obter mais informações sobre o uso de Run Command, consulte AWS Systems Manager Run Command.